Security Lab

Backdoor.Win32.Sinit.f

Backdoor.Win32.Sinit.f

Программа имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE-EXE файл.

Backdoor.Win32.Sinit.f («Лаборатория Касперского») также известен как: Backdoor.Sinit.f («Лаборатория Касперского»), BackDoor-BAM (McAfee), Backdoor.Sinit (Symantec), BackDoor.Sini (Doctor Web), Troj/Calyps-A (Sophos), Backdoor:Win32/Sinit (RAV), BKDR_SINIT.A (Trend Micro), Win32:Trojan-gen. (ALWIL), BackDoor.Sinit.A (Grisoft), Backdoor.Sinit (SOFTWIN), Bck/Sinit.A (Panda), Win32/Sinit.A (Eset)

Программа имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE-EXE файл. Имеет размер около 59 КБ. Упакована UPX. Размер распакованного файла около 425 КБ.

При инсталляции троянец копирует себя в системный каталог Windows с именем svcinit.exe:

  
  %System%\svcinit.exe
  

Затем регистрирует этот файл в ключе автозапуска системного реестра.

В случае Windows NT, 2000, XP:

  
  [HKLM\Software\Microsoft\Windows NT\
  CurrentVersion\Winlogon]
   "Userinit"="%System%\
  userinit.exe,%System%\svcinit.exe"
  

В случае Windows 95, 98, ME:

  
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\RunServices]
   "SVC Service"="%System%\svcinit.exe"

При каждой следующей загрузке Windows автоматически запустит зараженный файл.

Бэкдор открывает произвольный UDP порт для предоставления злоумышленнику удалённого доступа к заражённой машине.

Бэкдор имеет возможность загружать на заражённую машину любые файлы, запускать их и удалять, завершать различные процессы и получать информацию с зараженного компьютера.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!